Bürgerkarte
Die Bürgerkarte ist in Österreich eine Technologie der elektronischen Unterschrift. Sie ist eine Kombination aus einem amtlichen elektronischen Ausweis (einer SmartCard, meist der e-card, landläufig dann im Speziellen „Bürgerkarte“ genannt)[1] oder dem Mobiltelefon (als Handy-Signatur)[2] und einem digitalen Zertifikat. Sie findet besonders im E-Government (im elektronischen Verwaltungsverfahren),[3] aber auch bei wirtschaftlichen Vorgängen als Äquivalent zur eigenhändigen Unterschrift Verwendung, und ist dieser als qualifizierte elektronische Signatur gleichgestellt.
Erste und derzeit einzige österreichische Bestätigungsstelle ist A-SIT,[4] eine Kooperation von Finanzministerium, Nationalbank, TU Graz und Bundesrechenzentrum. Die Firma A-Trust, eine Kooperation österreichischer Kammern und Banken, betreut die Bürgerkarte technisch und stellt die digitalen Zertifikate zur Verfügung.
Konzept und Rechtswirksamkeit
Durch die Bürgerkarte können zwei zentrale Sicherheitsfragen bei Behördenwegen, die elektronisch angeboten werden, gelöst werden:
- Der Bürger kann durch Verwendung seiner Bürgerkarte eindeutig und sicher von der Behörde authentifiziert werden. Dies ist beispielsweise notwendig, bevor Einsicht in die betreffenden Verfahrensdaten gewährt werden kann. Diese sichere Identifikation kann dadurch das persönliche Erscheinen bei der Behörde ersetzen.
- Der Bürger kann auf elektronischem Weg gegenüber der Behörde eine Willenserklärung abgeben, deren Authentizität zweifelsfrei nachgeprüft werden kann. Diese Funktion ermöglicht es, Verfahren elektronisch anzubieten, für die auf herkömmlichem Weg eine schriftliche Eingabe notwendig wäre.
Der Begriff „österreichische Bürgerkarte“ steht nicht für eine spezielle Karte, die für alle Bürger gleich ist, wie beispielsweise der Reisepass. Die Bürgerkarte ist vielmehr ein Modell zur Ermöglichung elektronischer Verwaltungsverfahren, das jene Anforderungen definiert, die für sichere elektronische Abwicklung der Verwaltungsverfahren notwendig sind.
„‚Bürgerkarte‘: eine logische Einheit, die unabhängig von ihrer technischen Umsetzung eine qualifizierte elektronische Signatur (§ 2 Z 3a des Signaturgesetzes – SigG, BGBl. I Nr. 190/1999) mit einer Personenbindung (§ 4 Abs. 2) und den zugehörigen Sicherheitsdaten und -funktionen sowie allenfalls mit Vollmachtsdaten verbindet.“
Durch diese allgemeine Definition eines Modells haben die Bürger die Wahl, welche Bürgerkarte(n) sie schließlich verwenden. Man kann also die Bürgerkarte mit einem elektronischen Ausweis vergleichen: Ausweis bedeutet ein Konzept, das unterschiedliche Ausprägungen haben kann, wie Reisepass, Führerschein, Schülerausweis oder Mitgliedsausweis. Mit Behördenverfahren sind jedoch allgemein gewisse Sicherheitsanforderungen verbunden, die amtliche Ausweisdokumente erfüllen, wie beispielsweise Reisepass, Personalausweis oder Führerschein. Mit dem Konzept Bürgerkarte kann eine elektronische Schnittstelle in den Status des amtlichen Ausweisdokuments übergeführt werden. Das kann eine aktivierte SmartCard sein (Bürgerkarte im engeren Sinne), aber auch die Handy-Signatur als PIN-TAN-Vorgang.
Zusätzlich zu einem vollgültigen „Ausweis im Internet“ bietet die Bürgerkarte aber auch die Funktion der Unterschrift. Die Lösung Bürgerkarte erfüllt die Richtlinie 1999/93/EG (Signaturrichtlinie)[5] – Österreich ist das erste Land, das diese umgesetzt hat – und daher eine qualifizierte elektronische Signatur im Sinne der Richtlinie. Das heißt, sie ist der eigenhändigen Unterschrift gleichgestellt, die Rechtswirkung entspricht der Schriftlichkeit im Sinne des § 886 ABGB.[6] Sie ist daher der Nachweis der eindeutigen Identität einer Rechtsperson wie auch der Authentizität der Urkunde (§ 4 Abs. 1 E-GovG).[6]
Zusätzlich geregelt ist, dass sie nicht nur die persönliche Vollmacht bestätigen kann, sondern auch diejenige in Stellvertretung für Andere registriert werden kann (§ 5 Abs. 1 E-GovG).
Geschichte
Die Bürgerkarte wurde schon 2003 mit der eGovernment-Initiative der österreichischen Bundesregierung[7] eingeführt. Lange Zeit hat sie wenig Verbreitung gefunden, mit 2012 waren erst etwa knapp 200.000 Bürgerkarten in verschiedener Form im Umlauf, davon etwa je ein Drittel von Unternehmenskunden (Dienstausweise, Zutrittskarten, und ähnliches), Privatkunden (aktivierte E-Card, Bankomatkarte und ähnliches) und mit Handysignatur.[8][9] Das sind nur etwa 2½ % der Bürger.[8]
Anfang 2014 waren dann schon neben 150.000 SmartCards um die 300.000 Handy-Signaturen registriert, womit diese Version die viel verbreiterte ist.[10] Nach einer Studie Mitte 2014 besitzen inzwischen 18 % der Online-Bevölkerung eine kartenlesertaugliche Bürgerkarte und 21 % die Handy-Signatur.[11]
2015 entsprachen auch die entsprechenden Karten in Belgien, Estland, Finnland, Island, Italien, Liechtenstein, Litauen, Portugal, Schweden, Slowenien und Spanien den strengen österreichischen Bestimmungen, sodass die Ausweise dieser Länder jeweils ebenfalls gültig sind (E-Government-Gleichwertigkeitsverordnung).[12] Ab 29. September 2018 werden alle elektronischen Identifizierungsmittel, die in anderen Mitgliedstaaten ausgestellt wurden und bestimmte Qualitätskriterien erfüllen, aufgrund der eIDAS-VO auch in Österreich anzuerkennen sein. Die E-Government-Gleichwertigkeitsverordnung wird daher voraussichtlich bis zu diesem Zeitpunkt behoben werden.[13]
Seit 1. Jänner 2018 können auch Volksbegehren mittels Handy-Signatur oder Bürgerkarte unterschrieben werden. Dies gilt sowohl für die Abgabe einer Unterstützungserklärung als auch für die Unterzeichnung eines Volksbegehrens.[14]
Technische Rahmenbedingungen und Verwendung
Aus technischer Sicht sind derzeit Chipkarten beziehungsweise Smartcards ein Mittel der Wahl, um den Sicherheitsanforderungen zu genügen, sowie ein Chipkartenleser und eine entsprechende Bürgerkartenumgebung (etwa Mocca).[15] So lässt sich die e-card als Bürgerkarte aktivieren. Das Signierungs-Modell ist allerdings nicht darauf beschränkt. So sind auch das Mobiltelefon (Handy-Signatur)[2] und andere Geräte des täglichen Gebrauchs, wie USB-Geräte, als Bürgerkarte umgesetzt.
Die gesetzlich geforderte Personenbindung der elektronischen Signatur (§ 4 Abs. 2 E-GovG) erfolgt über die Stammzahl einer (natürlichen oder juristischen) Person (§ 6 E-GovG). Diese wird über eine komplexe Verschlüsselung bei Einwohnern die Melderegisterzahl (ZMR-Zahl aus dem Zentralen Melderegister Österreichs), sonst die Firmenbuchnummer, die des Vereinsregisters (ZVR-Zahl), und anderes (ein Errechnen der ursprünglichen Zahl aus der Stammzahl ist nicht möglich).[16] Diese ist dann der österreichweite eindeutige Identifikator einer Person zum Zwecke der Signierung. Sie wird – mit Name, Geburtsdatum und öffentlichem Schlüssel der asymmetrischen Verschlüsselung – verschlüsselt, von der Stammzahlregisterbehörde (StZRegBeh, das ist die Datenschutzbehörde DSB) signiert, auf die Bürgerkarte geschrieben[17] (Ausnahme: Handy-Signatur). Die Authentifizierung erfolgt über den Zertifikat-Service-Betreiber[18] (das ist in Österreich bisher einzig die Firma A-Trust).
Behördenseits wird mit der Bürgerkarte verbundenen Stammzahl dann das bereichsspezifische Personenkennzeichen (pBK) berechnet,[19][16] welche dann den nötigen Datenschutz sicherstellt, dass die erhobenen Daten auch nur aufgabenorientiert verwendet werden (§ 8 Eindeutige Identifikation in Datenanwendungen ff E-GovG).[20]
Erste Ausprägungen waren ab 2003 verfügbar (Mitgliedsausweis der Österreichischen Computer Gesellschaft OCG, oder die Bürgerkarte der A-Trust). Seit 2005 konnten die neue Generation der Maestro-Karte (also der Bankomatkarte), die e-card[21] der Hauptverbandes der österreichischen Sozialversicherungsträger, oder das Mobiltelefon über die A1-Signatur der mobilkom Austria als Bürgerkarte aktiviert werden. Die A1-Signatur der mobilkom wurde (mit 16. Oktober 2007) eingestellt. Ab Ende 2009 wurde mit der Handysignatur der A-Trust wieder eine Bürgerkarte am Mobiltelefon gestartet.[2]
Heute sind auch weitere Funktionen möglich, so das Signieren von PDF-Dateien, elektronischen Dokumenten nach dem System des Unternehmens Adobe, die heute allgemeiner Standard sind.[22]
In Zukunft werden weitere Anwendungen ergänzt werden, so allgemein das Abschließen von Rechtsgeschäften in e-Commerce, wo die elektronisches Signatur als amtlicher Ausweis mehr Rechtssicherheit für die Beteiligten bieten soll.
Ausprägungen, Aktivierung und Erwerb einer Bürgerkarte
Von den Bürgerkarten gibt es folgende Ausprägungen:[23]
- Die Aktivierung der e-card als Bürgerkarte ist kostenlos und erfolgt entweder
- bei Aktivierungsstellen z. B. Servicestellen der Krankenkasse mittels Identitätsnachweis
- über FinanzOnline, für dessen Zugang schon ein Identitätsnachweis erbracht werden musste
- Anforderung eines eingeschrieben RSa-Briefes
- Weiters können Dienstausweise (so des Finanzministeriums oder Bundeskanzleramtes) und Berufsausweise aktiviert werden, auch Schülerausweise und Studentenausweise.
- Die Aktivierung von Bankomatkarten spielt heute in Österreich kaum eine Rolle.[24]
- Zudem können andere Karten kostenpflichtig bei A-Trust direkt aktiviert oder bestellt werden (bezeichnet man dann meist als explizite Signaturkarte). Dort werden auch anderweitige Lösungen speziell für Firmenkunden angeboten (Aktivierung von betrieblichen Zugangs-Chipkarten, andere mobile Datenträger).
- Zur Aktivierung des Mobiltelefons (respektive der Mobil-Telefonnummer) siehe Handy-Signatur.
Kritik und theoretische technische Schwachstellen
Das E-Government-Gesetz fordert für die Bürgerkarte eine qualifizierte Signatur, was zu einer Reihe von Problemen führt:
- Das Verfahren der digitalen Signatur und der Personenbindung ist so komplex, dass nur eine sehr kleine Gruppe von Experten beurteilen kann, ob die vielen Komponenten einer Signatur wirklich sicher sind, unter anderem auch, weil es bei den Anwendern keine Plattform für Trusted Computing gibt. Würde die digitale Signatur größere Verbreitung finden und dadurch für Angreifer attraktiv werden, würde das die versprochene hohe Sicherheit unterhöhlen.
- Die technische Implementierung der Bürgerkarte erfordert eine proprietäre Schnittstelle, die von Anwendungen explizit unterstützt werden muss. Industriestandards wie PKCS11 und CSP werden dagegen von Web-Browsern, E-Mail-Clients und PDF-Anwendungen breit unterstützt.
Wie erst 2009 bekannt wurde[25], gab es bereits 2006 eine Untersuchung[26] des SecLab der Technischen Universität Wien, die drei Schwachstellen in der Softwareimplementierung der Bürgerkartenumgebung trustDesk basic (PC-Version) aufgezeigt hat. Die Schwachstellen, die z. B. in Verbindung mit einem Trojaner ausgenützt werden können, führen dazu, dass der Benutzer andere Dokumente bzw. Inhalte signiert als angezeigt bzw. vorgesehen.
- Angriff gegen eine HTML-Seite bzw. Anwendung, wie z. B. bei Banking-Anwendungen
- Angriff gegen FinanzOnline
- Angriff gegen Mail-Verschlüsselung (Thunderbird Plugin)
Die bekannt gewordenen Schwachstellen dürften bereits vor geraumer Zeit behoben worden sein, es bleibt allerdings der Vorwurf, dass die Software zuvor durch die A-Sit als sicher zertifiziert wurde und laut der Untersuchung der TU-Wien in Verbindung mit einem Trojaner eine Veränderung des Inhalts vor der Signatur niemals, auch nicht bei anderer Bürgerkarten Software, ausgeschlossen werden kann.
Der Kartenleser wäre genauso ein mögliches Angriffsziel.[27]
Eine Studie von 2012 zeigte, dass, obschon eGovernment in Österreich von 70 % der Einwohner genutzt wird, und Österreich damit im weltweiten Spitzenfeld liegt,[28] die Vorbehalte gegen die Bürgerkarte als elektronischer Identitätsnachweis vergleichsweise groß ist.[29] Bedenken bestehen bei etwa einem Fünftel der Bevölkerung insbesondere in Bezug auf Datensicherheit.[29] Das größere Hindernis dürfte aber der Vergleichsweise aufwändige Zugang sein.[8]
Das persönliche Sozialversicherungs-Pensionskonto[30] ist mit der Bürgerkarte zugänglich. Dazu wurde kritisiert, dass auch private Finanzberater während eines Beratungskontaktes die Bürgerkarte aktivieren dürften, wenn sie die entsprechenden, relativ leicht erhältlichen Berechtigungen erworben hätten, und damit erleichterten Zugang zu den künftigen staatlichen Pensionsdaten bekämen.[31]
Weblinks
- www.buergerkarte.at – Informationen zur Bürgerkarte auf der Webseite des A-SIT Zentrum für sichere Informationstechnologie – Austria
- Die Bürgerkarte – auf der eGovernement-Plattform des Bundeskanzleramtes digitales.oesterreich.gv.at
- Bürgerkarte, auf hELP.gv.at;
- E-Government-Anwendungen mit Bürgerkarte nach Anwendungen, nach Bundesländern/Gemeinden
- www.a-trust.at – A-Trust
- www.a-sit.at – A-SIT
Einzelnachweise
- Das kann die Bürgerkarte, buergerkarte.at, abgerufen 3. Dezember 2014;
chipkarte.at – SVC, Sozialversicherungs-Chipkarten Betriebs- und Errichtungsgesellschaft m.b.H. – SVC, Website zur Sozialversicherungskarte e-card, abgerufen am 31. März 2011 - Das kann die Handy-Signatur, buergerkarte.at, abgerufen 3. Dezember 2014;
A-Trust Handy Signatur. a-trust.at. Archiviert vom Original am 25. April 2013. Abgerufen am 14. Juni 2011.; A-Trust Webseite zur Handy Signatur, abgerufen am 31. März 2011. - Behörden im Netz – Das österreichische E-Government-ABC. Version Jänner 2008, Österreichisches Bundeskanzleramt, abgerufen am 31. März 2011.
- Verordnung BGBl. II Nr. 31/2000.
- Richtlinie 99/93/EG des Europäischen Parlaments und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen (i.d.g.F. online, eur-lex.europa.eu).
- Peter Kustor, Bundeskanzleramt: eID in Österreich (Memento vom 14. Juli 2014 im Internet Archive), Präsentation, 28. Januar 2014, Folie 33 E-Kommunikation birgt Risiken in sich: Lösung in Österreich: Bürgerkarte/Handy-Signatur und 35 Funktionen der Bürgerkarte (§ 4 Abs. 1 E-GovG) (PDF, bka.gv.at, abgerufen 12. Dezember 2014).
- Vergl. Schüssel: Wesentliche eGovernment-Initiative außer Streit gestellt, APA OTS0116, 13. Mai 2003.
- Handy-Signatur im Test: Mühsam zum Ziel, futurezone.at, 3. November 2012, abgerufen 7. Dezember 2014.
- A1 will Handysignatur pushen. derStandard online, 27. Jänner 2014, abgerufen 7. Dezember 2014
- egovernment-computing.de, 27. März 2014; zitiert in BRZ-Presseservice: Pressespiegel März 2014 (Memento vom 15. Dezember 2014 im Internet Archive), S. 54 (PDF, brz.gv.at)
- eGovernment MONITOR 2014, Studie der Initiative D21 und ipima, durchgeführt von TNS Infratest;
E-Government MONITOR 2014 präsentiert, Presseaussendung APA OTS0108, 29. September 2014;
Download der Studie via egovernment-monitor.de (PDF (Memento vom 11. Dezember 2014 im Internet Archive), auf initiatived21.de; abgerufen 9. Dezember 2014);
Auszüge der Ergebnisse: Österreich bei E-Government weiter top (Memento vom 11. Dezember 2014 im Internet Archive), gemeindebund.at, 7. Oktober 2014;
Der Ausdruck „Online-Bevölkerung“ bezieht sich auf die Auswahl der Befragten aus dem Online-Panel, das im Allgemeinen eine Internet-affinen Bevölkerungsteil repräsentiert; Angabe nach eGovernment MONITOR 2014, Abschnitt Studiensteckbrief: Auswahl, S. 5. - Rechtliche Rahmenbedingungen von E-Government in Österreich: E-Government-Gleichwertigkeitsverordnung, digitales.oesterreich.gv.at.
- Information (amtlicher Text) zur Gleichwertigkeit ausländischer Identifizierungsmittel in Österreich
- HELP.gv.at: Volksbegehren. Abgerufen am 12. Februar 2018.
- Mocca ist eine javabasierte kostenlose Open-Source-Software für PC, Mac und Linux, vom Bundeskanzleramt empfohlen; daneben bietet unter anderen auch Firma A-Trust selbst Lösungen an. Vergl. Werkzeuge und Downloads für Ihre Bürgerkarte: Bürgerkartenumgebungen, buergerkarte.at; Mocca lokal, wiki.a-trust.at; beide abgerufen 3. Dezember 2014.
- Vergl. Weblink Experten-Informationen, buergerkarte.at, Abschnitt Das Herzstück der Bürgerkarte: die Personenbindung; auch Stammzahl und bereichspezifisches Personenkennzeichen, digitales.oesterreich.gv.at; Bereichsspezifische Personenkennzeichen (bPK), stammzahlenregister.gv.at;
- Peter Kustor, Bundeskanzleramt: eID in Österreich (Memento vom 14. Juli 2014 im Internet Archive), Präsentation, 28. Januar 2014, Folie 37 Personenbindung und 38 Stammzahl (SZ) Erzeugung (§ 6 Abs. 2 E-GovG) (PDF, bka.gv.at, abgerufen 12. Dezember 2014).
- Kustor: eID in Österreich, 2014, Folie 41 Bürgerkartenfunktion.
- Kustor: eID in Österreich, 2014, Folien 39/40 bPK: Erzeugung
- Die in der Öffentlichkeit oft kritisierte Tatsache bei Behördenwegen, dass „eine Behörde nicht weiß, was die andere tut“, ist tatsächlich eine große Errungenschaft des Datenschutzes für den Bürger, und von Gesetzgeber ausdrücklich so vorgesehen: Eine Behörde ist im Allgemeinen nicht berechtigt, irgendwelche Unterlagen an andere Behörden weiterzugeben, sofern nicht ein berechtigtes Auskunftsinteresse besteht. Daher muss sie der Bürger oft mehrfach bei verschiedenen Behörden einreichen. Nur dann, wenn es klare gesetzliche Grundlagen gibt (Amtshilfe, Einverständnis) hat eine Behörde das Recht, Unterlagen aus Registern anderer Behörden selbst zu beschaffen, ohne dass sie die Bürger diese Unterlagen nochmals vorlegen müssen (§ 17 Abs. 2 E-Government-Gesetz, in dessen Erläuterungen als Beispiel genannt: Geburtsurkunden). Die Behörden sind angehalten, jene Daten, die in öffentlichen Registern verfügbar sind, von Amts wegen – sofern klarerweise die erforderlichen Daten nicht schon vom Betroffenen z. B. in Form von öffentlichen Urkunden vorgelegt werden – zu ermitteln und diese Aufgabe nicht auf die Bürgerin und den Bürger bzw. das Unternehmen abzuwälzen Regierungsvorlage 981 der Beilagen zu den stenografischen Protokollen des Nationalrates (Budgetbegleitgesetz 2011), XXIV. Gesetzgebungsperiode, S. 45.
- Experten-Informationen: Was passiert bei der Aktivierung der Bürgerkarte?, buergerkarte.at – Webseite zur Technologie der Verschlüsselung (abgerufen 3. Dezember 2014).
- PDF-Signatur mit der Bürgerkarte, buergerkarte.at, abgerufen 3. Dezember 2014.
- Siehe hierzu buergerkarte.at, digitales.oesterreich.gv.at, help.gv.at (Memento vom 7. Dezember 2014 im Internet Archive); sowie Kustor: eID in Österreich, 2014, Folie 50 Bürgerkartenkonzept: Ausprägungen ff (Beschreibungend der einzelnen häufigeren Formen).
- So verweist beispielsweise eine Großbank wie die Raiffeisenbank auf die A-Trust-Signaturkarten: Signaturkarte, banking.raiffeisen.at, abgerufen 12. Dezember 2014
- heise.de: Sicherheitslücken bei öesterreichischer Bürgerkarte.
- Florian Nentwich, Engin Kirda, Christopher Kruegel; Secure Systems Lab, Technical University Vienna: Practical Security Aspects of Digital Signature Systems. Technical Report, Juni 2006 (als PDF (Memento vom 12. Juni 2010 im Internet Archive), iseclab.org).
- So wurde 2012 eine Schwachstelle in der Software Mocca nachgewiesen. Schwachstelle bei Bürgerkarte entdeckt, Martin Stepanek auf futurezone.at, 25. Mai 2012, abgerufen 7. Dezember 2014.
- Nach einer anderen Studie. E-Government: Österreich im Spitzenfeld, futurezone.at, 3. August 2012, abgerufen 7. Dezember 2014.
- Österreicher vertrauen Bürgerkarte nicht: Studie zeigt Skepsis gegenüber E-Government und digitaler Identität, futurezone.at, 3. August 2012, abgerufen 7. Dezember 2014.
- Pensionskonto der Sozialversicherung
- Finanzdienstleister werben mit Pensionskonto auf Ö1, vom 28. Februar 2013, abgerufen am 1. März 2013.